Изследователи по сигурността са открили лесен начин за доставяне на зловреден софтуер в организация с Microsoft Teams, въпреки ограниченията в приложението за файлове от външни източници.
С 280 милиона активни потребители месечно Microsoft Teams е възприет от организациите като платформа за комуникация и сътрудничество, част от облачните услуги на Microsoft 365.
Като се има предвид популярността на продукта сред различни организации, Макс Корбридж и Том Елсън – членове на Червения екип в базираната в Обединеното кралство компания за услуги за сигурност Jumpsec, се поразровиха и откриха начин за доставяне на зловреден софтуер чрез Microsoft Teams с акаунт извън целевата организация.
Подробности за атаката
Атаката работи с Microsoft Teams, работещ с конфигурацията по подразбиране, която позволява комуникация с акаунти в Microsoft Teams извън компанията, обикновено наричани „външни потребители“.
В доклада си Corbridge обяснява, че макар този комуникационен мост да е достатъчен за социално инженерство и фишинг атаки, откритият от тях метод е по-мощен, тъй като позволява изпращането на зловреден полезен товар директно в целевата пощенска кутия.
Microsoft Teams разполага със защити от страна на клиента, които блокират доставката на файлове от акаунти на външни акаунти.
Двамата членове на червения екип на Jumpsec обаче са установили, че могат да заобиколят ограничението, като променят идентификатора на вътрешния и външния получател в POST заявката на дадено съобщение, като по този начин заблуждават системата да третира външен потребител като вътрешен.
„Когато изпращате полезния товар по този начин, той всъщност се хоства в домейна Sharepoint и целта го изтегля оттам. Той обаче се появява във входящата поща на целта като файл, а не като връзка.“ – Jumpsec Labs
Изследователите тестваха техниката на терен и успяха успешно да доставят полезен товар за командване и контрол в пощенската кутия на целеви организации, като част от таен ангажимент на червен екип.
Тази атака заобикаля съществуващите мерки за сигурност и съвети за обучение за борба с фишинга, като дава на нападателите доста лесен начин да заразят всяка организация, която използва Microsoft Teams с конфигурацията по подразбиране.
Освен това, ако атакуващият регистрира домейн, подобен на този на целевите организации в Microsoft 365, съобщенията му могат да изглеждат така, сякаш идват от някой в организацията, а не от външен наемателпотребител, като по този начин се увеличава вероятността целта да изтегли файла.
Отговорът на Microsoft
Изследователите съобщават своите открития на Microsoft, като приемат, че въздействието е достатъчно значително, за да гарантира незабавен отговор от страна на технологичния гигант.
Въпреки че Microsoft потвърди съществуването на дефекта, отговорът беше, че „той не отговаря на изискванията за незабавно обслужване“, което означава, че компанията не вижда спешна необходимост от отстраняването му.
Препоръчителното действие за организациите, които използват Microsoft Teams и нямат нужда да поддържат редовна комуникация с външни потребители, е да деактивират тази функция от „Microsoft Teams Admin Center > External Access“.
Ако е необходимо да се поддържат външни канали за комуникация, организациите могат да определят конкретни домейни в списък с разрешения, за да намалят риска от експлоатация.
Изследователите на Jumpsec също така са подали искане за добавяне на събития, свързани с външни потребители, в дневника на софтуера, което би могло да помогне за предотвратяване на атаки в момента на разгръщането им, така че гласувайте за това, ако искате да допринесете за оказване на натиск върху Microsoft да предприеме действия.
Базова информация и снимки: Jumpsec